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摘 要 : 口令 认证 一 直 是 最 主要 的 身份 认证 方式 。 考 虑 到 口令 要 满足 口令 策略 和 易 记 忆 的 要 求 ， 用 户 常 常会 将 个 人 
信息 组 合 起 来 作为 口令 。 为 了 调查 此 类 口令 的 比例 ， 以 2011 年 泄露 的 4 种 真实 口令 集 为 实验 素材 ， 预 先 设 定 口 令 的 
组 合 结构 和 格式 ， 使 用 程序 统计 使 用 个 人 信息 组 合作 为 口令 的 比例 。 实 验 结 果 表 明 ， 使 用 姓名 、 电 话 号 码 、 特 殊 日 
期 等 信息 组 合 而 成 的 口令 比例 约 为 12.419%6~25.53%。 根 据 这 一 规律 ， 提 出 了 动态 字典 攻击 。 攻 击 者 可 以 在 获得 用 户 
部 分 个 人 信息 后 ， 生 成 具有 针对 性 的 动态 字 词典 ， 并 以 此 来 破解 用 户口 令 。 最 后 ， 还 讨论 了 如 何 选择 口令 以 防止 攻 
击 者 通过 动态 字典 破解 用 户口 令 。 

关键 词 : 口令 安全 ; 动态 字典 攻击 ; 口令 选择 ; 组 合 口令 
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Password cracking using dynamic dictionary and password selection 
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(1. School of Software Engineering, Chongqing University of Posts & Telecommunications, Chongqing 400065, China; 2. 
School of Microelectronics & Communication Engineering, Chongqing University, Chongqing 400065, China) 


Abstract: Password has always been the one ofthe most important way for identity authentication. to meet the requirements 
of password policy and memory, users often combine personal information as their passwords. Therefore, in order to 
investigate the proportion of such passwords. This paper used 4 real password sets leaked in 2011 as experimental materials, 
preset the combination structure and format of the password and used an application to calculate the proportion of the 
password combined by personal information. Experimental results showed that the proportion of passwords combined with 
names, phone numbers, special dates and other information was about 12.4196 to 25.53%. According to this rule, dynamic 
dictionary attack is proposed. An attacker can generate a dynamic dictionary and use it to crack the user password, after 
he/she obtains some of the user's personal information. At last, this paper discusses that users how to select their passwords 
to prevent an attacker from cracking their passwords through a dynamic dictionary. 

Key words: password security; dynamic dictionary attack; combinative password 


0 ”引言 《如 网 站 ， 个 人 电脑 》 的 口令 。 攻 击 者 通常 利用 与 攻击 对 象 
a 相关 的 个 人 信息 ， 来 增强 猜测 的 针对 性 。 因 此 ， 相 对 于 漫步 
- 更 具有 针对 性 ， 从 而 在 在 线 攻 击 方面 有 明显 


令 认 证 是 最 广泛 使 用 的 信息 系统 身份 认证 方法 之 一 ， 攻击 ， 定 向 攻击 更 


尽管 许多 新 型 身份 认证 方法 不 断 出 现 ， 口 令 面 临 着 暴力 破 角 
和 字典 攻击 等 威胁 ， 但 口令 具有 易 理 解 、 易 实现 且 成 本 低 甩 考虑 到 口令 的 可 记忆 性 ， 用 户 往 往 将 自身 的 信息 通过 某 
等 优势 ， 在 可 预见 的 未 来 仍 将 是 最 主要 的 身份 认证 方式 口 。 中 构造 方式 形成 口令 ， 这 样 既 方便 了 记忆 ， 同 时 似乎 让 口令 
攻击 是 主流 的 口令 破解 方式 。 字 典 攻 击 。 看 起 来 复杂 些 ( 从 格式 上 看 ,口令 既 有 数字 ， 也 有 字母 等 )。 
逐一 尝试 自 定义 字典 中 的 口令 ， 直 到 尝试 到 正确 的 口令 或 者 。 比如 ， 长 度 为 12 的 口令 Wang19991201， 同 时 包含 了 数字 、 
穷尽 字典 中 的 口令 为 止 。 字 典 攻击 的 成 功率 由 字典 中 的 口令 大写 和 小 写字 母 ， 如 果 使 用 暴力 破解 方法 ， 平 均 需 要 621%2 
决定 ， 由 于 攻击 者 受 限于 时 空 矛盾 ， 不 能 简单 地 增加 字典 中 《只 考虑 数字 ， 大 小 写字 母 的 情况 下 ) 次 才能 破解 。 从 这 个 
的 口令 数量 来 增加 破解 口令 的 成 功率 所 。 因 此 ， 研 究 人 员 试 ”角度 看 该 口令 几乎 是 绝对 安全 的 。 但 是 ， 如 果 了 解 了 口令 的 
图 找到 一 种 方法 来 生成 更 精确 的 字典 ， 从 而 在 特定 的 时 空 消 ” 构造 方式 比如,“ 姓 的 拼音 + 特殊 日 期 "?)， 又 获取 了 用 户 的 
耗 条 件 下 提高 破解 口令 的 成 功率 。 个 人 信息 ， 那 么 可 能 在 经 过 极 少 的 猜测 后 就 能 破解 口令 。 暴 
对 用 户口 令 的 攻击 ， 根 据 攻 击 过 程 中 是 否 利用 用 户 个 人 力 破 解 和 不 具有 针对 性 的 字典 攻击 ， 受 猜测 次 数 限制 难以 实 
HE. 可 将 其 分 为 漫步 攻击 和 定向 攻击 趾 。 漫步 攻击 (trawling —— 施 在 线 破解 口令 ， 因 此 具有 针对 性 的 字典 攻击 才 具 有 实际 应 
attacking) 是 指 攻击 者 不 关心 具体 的 攻击 对 象 是 谁 ， 其 唯一 目 用 意义 。 
标 是 在 允许 的 猜测 次 数 下 ， 猜 测 出 越 多 的 口令 越 好 。 定 向 攻 本 文 提出 一 种 定向 的 字典 攻击 方式 ， 即 动态 字典 攻击 。 
击 的 目标 是 尽 可 能 以 最 快速 度 猜 测 出 所 给 用 户 在 给 定 服务 ”在 收集 攻击 对 象 的 个 人 信息 后 ， 以 某 些 常用 格式 组 合用 户 信 


的 优势 。 
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为 实验 素材 铝 ， 做 实验 分 析 
下 列 实验 结果 : 用 户 喜 欢 月 


民 等 人 以 CSDN f 


理 (natural language processing) [9 等 方法 。 
0D 人 人 网 泄露 在 网 络 上 的 


用 户 设 


日 等 ) 或 者 其 


令 的 长 度 主要 集中 在 8 到 9 


口令 结构 。 还 给 出 了 


但 是 这 些 建议 大 多 没有 考 
W. 2016 年 


t F 了 更 加 细致 的 统计 与 分 析 ， 
$ 集 与 黑客 字典 ， 发 现 即 
的 覆盖 率 都 很 低 。 可 见 没有 


口令 的 习惯 。 
有 电话 号 码 ， 特 殊 日 期 (比如 
户 名 相关 的 信息 作为 口令 ; 
An. 全 数字 和 数字 + 字母 是 最 


获 


4 的 特殊 数字 。 日 期 和 名 字 有 多 种 格式 ， 例 如 ， 用 户 的 


， 再 用 该 字典 攻击 特定 的 用 户口 令 。 本 文 以 ”长 度 小 于 6 的 口令 。 除 此 之 外 , 还 有 些 无 效 的 口令 来 源 于 “网 
为 实验 素材 ， 门 令 结构 ， 展 示 了 大 HKE”. “网络 水 军 ” 通 常 在 同一 时 间 段 注册 ， 它 们 常常 会 
约 12.41%~25.53% 的 口令 是 I 姓名 、 特 殊 日 期 、 身份 有 相同 的 账号 或 者 口令 。 根 据 这 些 特点 ， 本 文 使 用 程序 清理 
言 息 组 合 而 成 的 。; 口令 选择 。 用 户 会 本 ”这 些 无 效 的 用 户 信息 。 口 令 集 的 信息 如 表 1 所 示 。 
] 户 友好 型 口令 外 ,但 用 户 友 好 的 口令 通常 非常 脆 表 1 口令 集 信息 
令 选 择 应 在 安全 性 和 用 户 之 间 找 到 平衡 点 。 Table 1 Information of password sets 
网 络 名 总 数量 有 效 数 量 网 站 类 型 
相 关 研 究 CSDN 6421280 6375660 IT 社区 
通 字典 攻击 存在 时 空 矛 盾 的 问题 ， 对 于 字典 攻击 人 人 网 4421776 4178592 社交 媒体 
要 集中 于 使 尽 可 能 小 的 字典 覆盖 尽 可 能 多 的 真实 的 puis PRA d 网 页 游戏 
年 来 出 现 了 基于 真实 的 口令 集 的 数据 挖掘 5q， 马 一 209388 游戏 
(Markov model) pal, 概率 上 下 文 无 关 模型 PCFG) 21 用户 信息 类 型 与 格式 


户 可 以 组 合 个 人 信息 作为 口令 ， 口 令 可 以 由 姓名 、 特 
殊 日 期 、 电 话 号 码 、 社 交 媒 体 账号 、 爱 好 、 侦 像 名 等 组 成 
姑 为 信息 收集 的 难度 问题 ， 本 实验 仅 关 注 姓名 、 特 殊 日 
电话 号 码 、 社 交 媒 体 账号 、 身 份 证 最 后 6 位 和 长 度 小 于 


FRS 
amy’ e” 


是 1999 年 6 月 8 日 ， 它 可 以 写成 19990608，990608 等 。 
样 ， 用 户 姓名 也 有 多 种 格式 ， 表 2 和 3 分 别 是 日 期 和 姓名 3 


口令 选择 上 的 建议 ， 2 

因此 大 多 数 用 户 不 。 要 的 格式 。 Lind 
[9 基于 真实 的 口令 集 E Ae TI 
gn ee mS z Table 2 Format of date 


使 是 最 著名 的 黑客 字典 对 这 些 
[性 的 字典 攻击 存在 很 大 的 
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ERU Z Ree E. vitnistE. 
要 集中 在 引入 更 多 的 规 由 


014 年 ,Veras 等 人 提出 


am cpm 


EB 


信息 是 PCFG 模型 和 马尔 可 夫 模 型 难以 利 | 
一 步 地 ， 在 PCFG 模型 基 


的 概率 分 布 更 加 


A 


期 1999 年 6 月 8 


gi 


车 于 马尔 可 夫 模 型 的 口 是 由 Narayanan 等 

在 2005 年 首次 提出 。 令 集 进行 训练 ， 通 过 

间 的 先后 关系 来 计算 口 全 把 概率 高 的 口令 作为 
猜测 的 对 象 ， 从 而 在 一 定 程 度 上 解决 了 时 空 矛 盾 。2014 
年 , Ma 等 人 图 首次 将 平滑 技术 和 技术 运用 到 马尔 可 夫 
平滑 技术 主要 是 为 了 集中 过 度 拟 合 问题 。 

于 概率 上 下 文 无 关 模 型 的 口令 猜测 ， Weir 等 人 在 

2009 年 提出 所。 和 马尔 可 夫 模 型 ， 基 于 概率 上 下 文 无 关 
集 进 行 训练 。 PCFG 模型 统计 口令 层 

法 等 。 对 PCFG 模型 的 改进 


的 


令 中 包含 了 大 量 语义 信息 由]， 


格式 1 19990608 
格式 2 990608 
格式 3 199968 
格式 4 9968 
格式 5 1999 
格式 6 0608 
A3 姓名 格式 
Table 3 Format of name 
姓名 : 林 智 强 
格式 1 linzhiqiang, LinZhiQiang, Linzhiqiang 
格式 2 linzhiq, LinZhiQ, Linzhiq 
格式 3 linzq, LinZQ, Linzq 
格式 4 zglin, ZQLin, zqLin 
格式 5 Izq, LZQ, Lzq 
格式 6 lin, Lin 


这 些 合适 可 以 作为 判断 口令 的 一 部 分 是 否 为 姓名 或 者 日 
期 的 标准 。 因 为 汉语 拼音 的 数量 有 限 ， 如 果 口 令 的 一 部 分 | 
拼音 组 成 ,再 考虑 到 它 的 可 记忆 性 ,那么 基本 肯定 它 有 意义 ; 


“如 果 口 令 的 分 布 确定 了 , 那么 破解 口令 的 代价 就 


Wang 等 人 [ 


Hd 


日 合 分 析 不 够 全 
的 组 合 ， 对 姓名 + 生日 、 
日 等 格式 没有 考虑 。 


用 户口 令 分 析 
本 文 在 互联 网 上 获 


EEEE CSDN. AAW., # 
虽然 这 些 网 站 的 信息 有 数 百 万 条 ， 但 是 其 


青 测算 法 ， 


下 降 .”09 但 是 , 它们 都 没有 融合 个 人 信息 , 不 存在 针对 性 
难以 实现 在 线 的 攻击 。2016 年 ， 
尔 可 夫 链 的 定向 
2016 年 ，Li 等 人 [2 首次 提 昌 ] 
fF 对 象 相关 的 个 人 
Mo kein, AIEE 


音 首 写 +4 


到 的 ， 进 
BB 了 融合 语义 的 NLP 算法 。 
这 些 尝试 提高 破解 概率 的 方法 都 是 试图 找到 口令 中 的 分 


ES 
攻击 猜测 


TH 


外 生日、 姓 + 名 


取 了 2011 年 泄露 的 真实 
嘟 网 和 多 玩 网 的 用 


令 长 度 太 短 ， 不 符合 如 今 的 现实 情况 ， 因 此 实验 


口令 集 ， 


x 


Ls 


1 提出 了 基于 马 
言 息 与 马尔 可 
CFG 的 定向 
Lo {Hi Wang, Li 对 
E+ 生 
的 所 


十 
结合 。 


或 者 是 名 字 ， 或 者 是 特定 汉语 词汇 。 同 样 ， 如 果 一 串 11 位 数 
字 是 以 130、133 等 开头 ， 那 么 可 以 基本 确定 它 是 电话 号 码 。 
130、133 等 是 网 络 识别 号 ， 如 表 4 所 示 ， 表 中 给 出 了 中 国 目 
前 所 有 的 网 络 识别 号 。 对 于 社交 媒体 , 实验 主要 以 QQ 为 例 ， 
但 是 , 单 从 号 码 上 很 难 直 接 判 断 一 串 6 到 11 位 的 数字 是 否 为 
QQ 号 码 。 同 样 ， 根 据 中 国 居民 身份 证 的 编号 特征 ， 也 很 验 
证 判断 一 串 6 位 的 数字 是 否 为 身份 证 后 6 位 数字 。 所 以 ， 本 
次 实验 中 基本 不 能 断定 一 串 数字 是 否 为 QQ 号 码 ， 或 者 是 身 
份 证 后 6 位 数字 。 


表 4 网 络 识别 号 


Table 4 Network identification number 


电信 运营 商 网 络 识别 号 
134、135、136、137、138、139、147、 
中 国 移动 150、151、152、157、158、159、178、 
182、183、184、187、188、198，1705 
中 国电 信 133、153、177、180、181、189、199，1700 
uum 130, 131. 132. 155. 156, 185, 186, 
rp EDGE 


145, 176. 166, 1709 
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22 口令 结构 XU 有 效 个 人 信息 组 合 口令 比例 
用 户 将 个 人 信息 组 合 起 来 作为 口令 ， 有 一 些 组 成 结构 。 Table 7 Proportion of password combined with valid personal 
本 文 给 出 一 些 比较 常见 的 结构 以 研究 它们 的 频率 。 如 表 5 所 information 
zo 以 字母 A 表示 口令 中 的 字母 串 或 字母 , 字母 D 表示 口令 CSDN 人 人 网 BRUT 多 玩 网 
中 的 数字 字符 串 ， 字 母 N 表示 口令 中 的 拼音 部 分 (大 部 分 为 比例 — 12.4087% 12.5820% 19.8656% 25.5264% 
姓名 的 拼音 格式 )。 其 中 A 主要 包括 如 qq、abc、aaaa 等 , D ”3.2 实验 结果 分 析 
主要 包括 电话 号 码 、QQ 号 码 、 特 殊 日 期 、 身 份 证 号 后 6 位 口令 强度 与 用 户 的 性 别 、 专 业 、 年 龄 都 有 着 某 种 联系 。 
数字 、 长 度 小 于 等 于 4 的 数字 字符 串 。 在 实验 中 ， 编 写 程序 Mazurek 等 上 03 的 实验 结果 表明 ， 相 对 其 他 专业 ， 计 算 机 科学 
完成 判断 口令 结构 的 工作 。 专业 的 学 生 设 置 的 口令 强度 是 最 强 的 。CSDN 全 称 是 中 国 软 
R5 口令 结构 牛 开发 者 网 站 ，CSDN 的 大 部 分 用 户 是 计算 机 专业 或 者 计算 
Table 5 Password structure 机 相关 专业 人 员 ，CSDN 的 有 效 的 个 人 用 户 信 息 组 合 口令 的 
令 结 构 比例 在 实验 口令 集中 最 低 。 多 玩 网 和 哪 哪 网 都 是 游戏 网 站 ， 
格式 1 A+D 但 多 玩 网 的 有 效 的 个 人 用 户 信息 组 合 口令 的 比例 在 实验 口令 
格式 2 A+D+A 集中 最 高 ， 要 明显 高 于 嘟 嘟 网 ， 导 致 这 个 结果 的 原因 与 网 站 
格式 3 N+D 的 口令 策略 有 关 。 多 玩 网 的 单 信息 口令 中 除 结构 为 N 的 口令 
3 ”实验 结果 与 分 析 OO A WS A a A de 
玩 网 禁止 用 户 设 置 全 为 数字 的 口令 。 如 图 1 所 示 ， 当 单一 信 
3.1 实验 结果 息 口令 的 比例 下 降 时 ， 有 效 个 人 用 户 信息 组 合 口 令 的 比例 会 
本 文 已 经 列 出 了 口令 的 结构 和 口令 格式 的 判断 标准 。 根 增加 。 除 了 CSDN 以 外 ， 其 余 的 三 个 网 站 的 有 效 信息 组 合 口 
据 上 述 口 令 分 析 ， 本 文 编写 程序 以 分 析 判 断 出 哪些 口令 是 令 与 单一 信息 口令 之 和 基本 都 为 30%， 也 就 是 约 30% 的 口令 
用 户 的 个 人 信息 组 合 而 成 的 口令 。 实 验 统 计 结 果 如 表 6 所 示 。 都 是 由 用 户 个 人 信息 组 合 构成 。 
其 中 工 表示 口令 中 的 字母 ，N 表示 口令 中 的 姓名 、 汉 语词 汇 j 户 可 以 用 姓名 、 生 日 和 其 他 信息 来 构建 个 人 的 口令 
的 拼音 ，SD 表示 口令 中 的 特殊 日 期 ，PN 表示 口令 中 的 电话 B,14151。 现 在 ,许多 网 站 或 应 用 程序 都 有 口令 策略 ， 以 防止 用 
号 码 ，QQ 表示 口令 中 的 QQ 号 码 ，LS4 表示 口令 中 长 度 小 户 设置 弱 口 令 。 用 户 可 以 将 一 些 信息 作为 口令 组 合 ， 以 满足 
于 等 于 4 的 数字 字符 串 ，ID6 表示 口令 中 身份 证 号 后 6 位 数 令 策 略 ， 同 时 又 方便 用 户 记 忆 。 从 表面 上 来 看 ， 这 些 组 合 
字 。 令 是 要 比 单 信息 口令 的 安全 性 更 高 些 ， 但 当 这 个 规律 被 发 
表 6 实验 统计 结果 钢 后 ， 安 全 性 也 是 比较 脆弱 的 。 攻 击 者 可 以 根据 这 个 规则 破 
Table 6 Experimental results 解 用 户 的 口令 。 攻 击 者 收集 关于 目标 用 户 的 一 些 信息 ， 这 些 
令 结 构 CSDN 人 人 网 嘟 嘟 网 多 玩 网 言 息 包括 他 /她 的 姓名 、 电 子 邮 件 地 址 、ID 号 等 等 ， 使 用 社 
数量 比例 数量 比例 数量 比例 数量 比例 会 工程 学 来 收集 关于 用 户 的 信息 09。 例 如 ， 可 以 通过 被 丢弃 
L+PN 5116 0.08% — 167 0.04% 3445 0.03% 15187 0.59% 的 快递 的 包装 盒 来 获得 目标 用 户 的 电话 号 码 和 淘宝 账号 〈 账 
L-SD 11887 0.19% 22467 0.54% 277880 2.81% 11020 0.4394 户 也 极 有 可 能 是 他 的 电子 邮箱 号 )。 攻 击 者 利用 收集 到 的 信息 
L+ID6 0 000 0 000% 0 000% 0 000% 制作 动态 字典 。 使 用 John The Ripper 等 软件 和 动态 字典 破解 
L*QQ 122053 1.91% 40536 0.97% 873764 8.82% 296486 11.48% 目标 用 户 的 口令 。 该 方法 针对 性 强 ， 效 率 高 。 
L+PN+L 364 0.01% 7 000 69 0.00% 399 0.02% 
L*SD-L 2625 0.04% 936 0.02% 4679 0.05% 1448 0.0696 
L+ID6+L 24883 0.39% 17135 0.41% 24879 0.25% 12680 0.49% 
L+QQ+L 78824 1.24% 17990 0.43% 71373 0.72% 72061 2.79% 
N+PN 22845 0.36% 442 0.01% 3171 0.03% 16124 0.62% 
N+SD 431088 6.76% 141909 3.40% 639413 6.50% 214465 8.30% 
N+LS4 317206 %4.98 359821 8.61% 1039157 10.49% 400803 15.51% ES 
N«ID6 252575 3.96% 44204 1.01% 241088 2.43% 54300 2.1096 1 令 比 例 对 比 图 
N+QQ 590652 9.26% 91546 2.20% 961787 9.71% 459434 17.7896 Fig. 1 Password proportion comparison chart 
PN 189340 2.97% 159517 3.8294 382070 3.86% 17 0.00% 根据 实验 结果 ， 接 近 02.419680 25.53% 的 口令 由 用 户 个 
SD 409284 6.42% 315328 7.55% 392482 3.96% 6 0.0096 人 信息 组 合 而 成 的 。 因 此 ， 搜 集 了 攻击 对 象 的 信息 ， 就 可 以 
ID6 28134 0.44% 3669082 8.78% 435835 4.40% 3 0.0096 快速 地 按照 表 6 中 的 口令 结构 生成 组 合 口令 、 再 生成 动态 字 
QQ 1263310 19.81% 1241562 29.7196 2623371 26.48% 406 0.0296 。 如 表 8 所 示 ， 显 示 了 有 效 个 人 信息 组 合 口令 的 7 种 口令 
N 276633 433% 344951 8.26% 408231 4.12% 154801 5.9994 结构 的 最 大 猜测 次 数 。 可 以 发 现 ， 动 态 字典 中 的 口令 条 数 在 
T QQ 号 码 和 身份 证 后 6 位 数 判断 不 准确 ， 不 计 入 统 105 的 量 级 就 可 以 覆盖 所 用 结构 的 信息 组 合 口令 ， 也 即 最 多 
计 分 析 ， 本 文 主要 分 析 结 构 为 L+PN、L+SD、L+PN+L、 猜测 约 1.7*105 次 就 有 12.41% 到 25.53% RER AEM H FH P fh 
L-SD-L, N+PN, N+SD 和 N+LS4 的 口令 ; d PN. SD. N 令 。 本 文 的 实验 还 未 找到 合适 的 方法 来 精确 地 判断 QQ 号 
仅 含 单一 用 户 信息 的 口令 定义 为 单 信息 口令 ， 本 文 的 程序 统 码 和 身份 证 号 后 6 位 ， 所 以 不 知道 口令 结构 为 L-QQ. 
计 的 有 效 的 用 户 个 人 信息 组 合 口令 比例 如 表 7 所 示 。 实 验 结  — L*QQ4L. N-QQ. LHID6, L+ID6+L 和 N-ID6 的 比例 。 但 
果 表 明 ， 有 效 的 用 户 个 人 信息 组 合 口令 的 比例 从 12.41% 到 是 ， 可 以 肯定 的 是 ， 有 些 口令 的 确 是 由 QQ 号 码 、 身 份 证 号 
25.5396, 后 6 位 数字 和 其 他 信息 组 成 的 。 因 此 ， 如 果 比 较 全 面 的 搜集 
目标 的 用 户 的 个 人 信息 来 构建 动态 字典 ， 并 以 此 来 猜测 用 户 


口令 的 概率 要 高 于 12.41% 到 25.5396. 


AS 有 效 个 人 信息 组 合 口令 的 7 种 口令 结构 最 大 猜测 次 数 


Table 8 The maximum number of guesses of seven password 


structures for valid personal information combination passwords 


令 结 构 最 大 猜测 次 数 
L-PN 26 
L-SD 26*6 

L+PN+L 26*26 

L+SD+L 26*26*6 
N+PN 17 
N+SD 17*6 

N+LS4 17*104 

4 ”口令 选择 
网 站 或 应 用 程序 在 用 户 设置 口令 时 i 


曾 强 口令 的 强度 。 根 据 本 文 的 实验 结果 ， 用 
言 息 来 设置 口令 ,但 是 攻击 者 也 可 以 使 用 动态 字 


。 那 么 如 何 选择 口令 以 避免 使 用 动态 字典 破解 用 户口 令 
"^ 
m 用 户 使 用 单一 信息 作为 口令 是 很 容易 被 猜测 到 的 。 
(gy Aare 提出 了 一 些 设置 口令 的 方法 原则 四 。 这 些 方法 教 用 户 
入。 ”如 何 选择 他 们 的 口令 ， 所 得 到 口令 看 起 来 很 强大 ， 但 事实 
二 = ” 非 如 此 。 教 用 户 使 用 某 种 方法 或 者 原则 设置 口令 本 身 是 危险 
CO me. 例如， 如 果 为 用 户 提供 了 创建 口令 的 特定 方式 ， 比 如 使 
CO 用 最 喜欢 的 短语 或 者 名 言 的 首 字母 ， 如 果 许多 用 户 都 使 用 了 
二 = ”这 种 方法 来 生成 口令 ， 那 么 这 些 口 令 将 会 形成 规律 性 ， 这 样 
CO 也 就 能 通过 特定 的 程序 破解 。 
o 大 多 数 网 站 和 应 用 程序 都 使 用 了 口令 策略 ， 以 防止 用 户 
O 设置 弱 口令 。 所 以 ， 似 乎 更 严格 的 口令 策略 ， 就 会 有 更 强 的 
e 口令 ， 显 然 严格 的 口令 策略 会 产生 复杂 的 口令 ， 复 杂 性 增加 
2 了 口令 对 攻击 的 抵抗 力 ， 但 降低 了 可 用 性 "7。 用 户 很 难 记 住 
. 他 们 的 口令 ， 所 以 ， 他 们 可 能 会 把 口令 写 下 来 B43， 从 而 导 
SE — 致 新 的 危险 。 与 此 同时 ， 严 格 的 口令 策略 会 让 用 户 抱怨 ， 其 
(5 至 会 放弃 注册 后 。 对 于 一 个 网 站 或 应 用 程序 来 说 ， 吸 引 更 多 
C. 。 ”的 固定 用 户 是 很 重要 的 ， 严 格 的 口令 策略 可 能 会 导致 更 大 的 
co gd. 
O 安全 性 和 可 记忆 性 对 口令 都 很 重要 。 王 秀 利 对 国内 用 户 
口令 的 安全 性 和 可 记忆 性 进行 了 定量 分 析 09， 提 出 了 能 根据 
用 户 历史 口令 数据 动态 约束 用 户口 令 设置 行为 的 口令 创建 规 
则 : 若 用 户 采 用 纯 数字 口令 ， 则 口令 长 度 不 应 低 于 7 位 ; 大 
写字 母 + 小 写字 母 组 合 的 口令 应 避 开 6 位 和 8 位 ; 大 写字 母 + 
特殊 字符 的 组 合 推荐 使 用 9 位 .这 个 规则 对 口令 选择 有 帮助 ， 


但 它 没 有 考虑 按照 这 些 规则 创建 的 


令 的 含义 。 有 意义 的 


当 用 户 选 择 口令 时 ,应 该 考虑 口令 的 安全 性 和 可 记忆 性 。 
用 户 通 过 组 合 个 人 语 息 来 创建 令 是 很 正常 的 ， 因 为 它 很 容 
易 记 住 。 关 键 是 用 户 应 该 使 用 什么 样 的 信息 。 一 些 信息 ， 如 
用 户 的 姓名 、 生 日 、 身 份 证 号 码 和 社保 号 码 ， 这 些 信息 很 容 
易 获得 。 用 户 应 该 使 用 秘密 信息 ， 比 如 上 小 学 时 的 教室 门牌 
号 、 你 的 第 一 台电 脑 或 汽车 的 价格 等 等 。 用 户 可 能 有 “ 笠 运 


数字 ”用 户 可 以 使 


“幸运 数字 ”作为 口令 的 一 部 分 。 总 之 ， 


用 作 创 建 口 令 的 信息 应 该 是 保密 的 ,不 可 轻易 获取 的 ,最 后 ， 


本 文 提出 一 些 


令 创建 与 使 用 的 建议 。 
a) 口令 的 长 度 不 应 该 太 短 ， 应 至 少 为 8。 
b) 口令 不 应 该 写 下 来 或 存储 在 你 的 电脑 9 
c) 不 要 在 没有 加 密 的 网 络 环境 中 传输 


n 
o 


= 


5 


( 


令 


式 
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d) 尽量 为 每 个 应 | 


] 账 号 设置 不 同 的 口令 。 


e) 不 要 使 用 网 站 或 应 用 程序 的 “ 记 住 口令 ”功能 。 
结束 语 
本 文 借助 互联 网 获取 了 2011 年 泄露 的 真实 口令 集 


CSDN、 人 人 网 、 哪 哪 网 和 多 玩 网 )， 并 编写 程序 删除 了 口 
集中 无 效 的 口令 。 以 这 些 口 令 集 ; 本 文通 过 实验 方 
提出 了 动态 字典 攻击 方法 。 在 实验 中 ， 归 纳 总 结 了 主要 的 
令 结构 ， 分 析 有 效 的 个 人 信息 组 合 口 令 的 7 种 口令 结构 并 
出 了 这 7 种 口令 结构 的 有 效用 户 个 人 信息 组 合 口令 的 比例 
击 者 可 以 利用 这 个 规律 ， 首 先 获 取 目 标 用 户 的 个 人 信息 ， 


后 根据 这 些 信息 生成 动态 字典 ， 再 通过 动态 字典 破解 用 户 
口令 。 

户 喜 欢 将 个 人 信息 组 合成 口令 ， 同 时 口令 的 可 记忆 性 
用 户 也 很 重要 。 本 文 基于 口令 的 安全 性 和 可 记忆 性 ， 对 口 
令 选择 给 出 了 一 些 建议 ， 建 议 用 户 组 合 不 易 获 取 的 秘密 个 人 
息 以 创建 口令 。 
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